Datenleck bei Hotelkette Numa: Ausweisdaten von 500.000 Gästen waren online abrufbar

Durch Sicherheitsmängel im Online-Buchungssystem der Hotelkette Numa ist es dem Chaos Computer Club (CCC) gelungen, auf über 500.000 Rechnungen sowie auf die Ausweisdaten der Gäste zuzugreifen. Möglich war das durch ein einfaches Hochzählen der Rechnungsnummer, heißt es in der Mitteilung.

Auf die Sicherheitslücke gestoßen ist der IT-Sicherheitsberater und CCC-Sprecher Matthias Marx. Er wollte sich letzte Woche in einem Berliner Hotel der Kette Numa einchecken, die den Empfang komplett digital abwickelt. So etwas wie Rezeptionisten gibt es nicht mehr.

Wird aber ein Zimmer gebucht, ist es nötig, beim digitalen Check-In noch einen Ausweis zu hinterlegen. Ohne Upload von Bildern eines amtlichen Identitätsnachweises gelangt der Gast nicht in sein Zimmer. „Ohne das wollte mich Numa einfach nicht in mein gebuchtes und bereits bezahltes Zimmer lassen“, sagte Marx der Zeit, die ausführlicher über den Vorfall berichtet.

Zugang durch Hoch- und Runterzählen der Rechnungsnummer

Allein dieses Vorgehen ist schon fragwürdig und aus Sicht des CCC unnötig. Die Ausweisdaten hätten schlicht nie verarbeitet werden dürfen. Noch gravierender sind aber die Sicherheitslücken, die Marx entdeckt hat. Der per E-Mail übersandte Link zur Rechnung hatte eine URL mit invoiceID. Durch einfaches Hoch- und Runterzählen der Rechnungsnummer war es jedoch möglich, direkt auf Rechnungen anderer Gäste zuzugreifen.

Die invoiceID waren fortlaufend vergeben. In einer Stichprobe des CCC war so ein Zugriff auf über 500.000 Rechnungen möglich, die laut dem Zeit-Bericht vom Januar 2024 bis Juni 2025 stammen. Es sei eine Schwachstelle, die „es in diesem Jahrtausend einfach nicht mehr geben darf“.

Die Rechnungen enthalten dem CCC zufolge Namen, Adressen, Aufenthaltsorte und -zeiten der Numa-Gäste. Über den Quellcode der Webseite, die das PDF mit der Rechnung bereitstellt, fand sich zudem noch ein JSON-Objekt, das zusätzlich einen ungeschützten Zugriff auf die Ausweisdaten der Gäste ermöglichte. „Ein qualifizierter Datenhamster kann durch Hoch- und Runterzählen alle Rechnungen herunterladen und erhält mit der darin enthaltenen Buchungsnummer praktischerweise auch Zugriff auf die Ausweisdaten der Gäste“, so der CCC.

Sicherheitslücke wurde bereits geschlossen

Die Hotelkette Numa hat laut dem Zeit-Bericht schnell reagiert. Die Lücke wurde in kurzer Zeit geschlossen, man bedankte sich zudem bei Marx und informierte die Datenschutzaufsicht. Betroffene Kunden wurden ebenfalls bereits informiert.

Einen Datenabfluss soll es nicht gegeben haben. „Nach eingehender Prüfung der Log-Dateien können wir weitestgehend ausschließen, dass diese sehr spezifische Schwachstelle missbräuchlich genutzt wurde“, sagte ein Sprecher des Unternehmens der Zeit.

Dennoch sind die Schwachstellen gravierend. Wie die Zeit beschreibt, ist es mittlerweile Branchenstandard, dass Rechnungs- und Bezahlsysteme zufällig erzeugte Links ausgeben, die sich nicht erraten lassen. Ebenso hätten Ausweisdaten verschlüsselt gespeichert werden müssen.

Hotelkette will am Ausweis-Upload festhalten

An der Abfrage der Ausweisdaten will Numa festhalten, auch wenn Gäste ihr Zimmer bereits gezahlt haben. Das sei üblich, um den Self-Check-In durchzuführen. Wer seine Ausweisdaten nicht hochladen wolle, könne via Video-Call einchecken, was vergleichbar sei mit dem herkömmlichen Ablauf an einer Rezeption.